Los investigadores de la Unidad 42 de la compañía de ciberseguridad Palo Alto Networks han descubierto el que creen es el primer malware en conocerse que se dirige específicamente a los contenedores de Windows.
Este nuevo malware fue identificado por primera vez el pasado mes de marzo por el investigador Daniel Prizmant, quien ha explicado sus claves y detalles técnicos en una publicación del blog de la empresa compartida este mismo lunes. Según comienza señalando, decidió bautizarlo como Siloscape ("escape de silos", en inglés) porque su principal objetivo es escapar del contenedor vulnerable, lo que en Windows suele implementarse a través de silos de servidor.
"'Siloscape' es un malware muy ofuscado dirigido a clústeres de Kubernetes a través de contenedores de Windows. Su objetivo principal es abrir una puerta trasera en clústeres de Kubernetes mal configurados para ejecutar contenedores maliciosos", continúa indicando.
El investigador prosigue subrayando que comprometer todo un clúster de Kubernetes es mucho más dañino que un solo contenedor, ya que puede ejecutar múltiples aplicaciones en la nube mientras que un solo contenedor normalmente solo ejecutaría una.
"El atacante podría robar información crítica como nombres de usuario y contraseñas, archivos confidenciales e internos de una organización, o incluso bases de datos completas alojadas en el clúster. Un ataque de este tipo incluso podría aprovecharse como un ataque de ransomware tomando como rehenes los archivos de la organización.
"Peor aún, con las organizaciones que se trasladan a la nube, muchas utilizan clústeres de Kubernetes como entornos de desarrollo y prueba, y una infracción de dicho entorno puede provocar devastadores ataques a la cadena de suministro de software", advierte Prizmant.
Cómo funciona el malware "Siloscape"
Siguiendo la información de la publicación, el malware comienza dirigiéndose a aplicaciones comunes en la nube, como servidores web, y accede a ellas a través de vulnerabilidades conocidas. Para escapar de allí y obtener la ejecución del código en el nodo subyacente, utiliza la técnica de escape del contenedor de Windows y después intenta abusar de las credenciales del nodo para seguir propagándose por medio del clúster de Kubernetes.
Posteriormente, utiliza el proxy Tor y un dominio .onion para conectarse de nuevo a su servidor de comando y control (C2) y poder recibir así más comandos. Durante su investigación, Prizmant también obtuvo acceso a este servidor, en el que afirma que él y su equipo identificaron 23 víctimas activas de Siloscape y que el servidor se estaba utilizando para alojar a 313 usuarios en total. Según apunta, esto implica que Siloscape era una pequeña parte de una campaña más amplia que, como también descubrieron, se ha llevado a cabo durante más de un año.
"A diferencia de la mayoría del malware en la nube, que se centra principalmente en el secuestro de recursos y la denegación de servicio (DoS), Siloscape no se limita a ningún objetivo específico. En cambio, abre una puerta trasera a todo tipo de actividades maliciosas", escribe el investigador de Palo Alto Networks.
Recomendaciones para protegerse de "Siloscape"
Para mantenerse a salvo de este peligroso malware, Prizmant aconseja no usar contenedores de Windows como medida de seguridad. De hecho, la propia Microsoft apuesta directamente por la utilización de los contenedores Hyper-V, ya que los procesos ejecutados en contenedores Windows Server tienen los mismos privilegios que el administrador en el host.
"Además, los administradores deben asegurarse de que su clúster de Kubernetes esté configurado de forma segura. En particular, un clúster de Kubernetes seguro no será tan vulnerable a este malware específico, ya que los privilegios de los nodos no serán suficientes para crear nuevas implementaciones. En este caso, Siloscape se cerrará.
"Siloscape nos muestra la importancia de la seguridad de los contenedores, ya que el malware no podría causar ningún daño significativo si no fuera por el escape del contenedor. Es fundamental que las organizaciones mantengan un entorno de nube seguro y bien configurado para protegerse contra tales amenazas", destaca el investigador de la firma de ciberseguridad, que garantiza que su tecnología Prisma Cloud detecta y mitiga con éxito el malware Siloscape.